CrowdStrike объясняет, почему плохое обновление Microsoft Windows, затронувшее миллионы людей, не было должным образом протестировано

В среду CrowdStrike обнародовала результаты своего предварительного анализа после инцидента, проливая свет на то, почему недавнее обновление Microsoft Windows, вызвавшее массовые сбои, не было обнаружено во время внутреннего тестирования. Этот инцидент, затронувший миллионы людей по всему миру, выявил критические недостатки в процессе проверки обновлений.

CrowdStrike, ведущая фирма в области кибербезопасности, предоставляет два различных типа обновлений конфигурации контента безопасности для своего агента Falcon: контент датчиков и контент быстрого реагирования. Обновления содержимого датчиков предлагают комплексные возможности для реагирования на злоумышленников и долгосрочного обнаружения угроз. Эти обновления не извлекаются из облака динамически и проходят тщательное тестирование, что позволяет клиентам контролировать развертывание в своих автопарках.

Напротив, контент быстрого ответа состоит из собственных двоичных файлов, содержащих данные конфигурации, позволяющие улучшить видимость и обнаружение устройства без изменения кода. Перед распространением этот контент проверяется компонентом, предназначенным для обеспечения целостности. Однако обновление, выпущенное 19 июля и направленное на устранение новых методов атак с использованием именованных каналов, выявило критическую ошибку.

Валидатор, на который полагаются с марта, содержал ошибку, которая позволяла ошибочному обновлению пройти проверку. Из-за отсутствия дополнительного тестирования обновление было развернуто, в результате чего около 8,5 миллионов устройств Windows столкнулись с циклом «синего экрана смерти» (BSOD) . Этот сбой произошел из-за чтения памяти за пределами границ, что привело к необработанному исключению. Хотя компонент интерпретатора контента CrowdStrike предназначен для управления такими исключениями, эта конкретная проблема не была решена должным образом.

В ответ на этот инцидент CrowdStrike стремится усовершенствовать протоколы тестирования контента быстрого реагирования. Запланированные улучшения включают локальное тестирование разработчиков, комплексное тестирование обновлений и откатов, стресс-тестирование, фаззинг, тестирование стабильности и тестирование интерфейса. Валидатор контента получит дополнительные проверки, а процессы обработки ошибок будут усовершенствованы. Кроме того, будет реализована стратегия поэтапного развертывания контента быстрого реагирования, что предоставит клиентам больший контроль над этими обновлениями.

В понедельник CrowdStrike объявила об ускоренном плане восстановления систем, затронутых дефектным обновлением, при этом уже достигнут значительный прогресс в восстановлении затронутых устройств. Инцидент, считающийся одним из самых серьезных ИТ-сбоев в истории, привел к серьезным сбоям в различных секторах, включая авиацию, финансы, здравоохранение и образование.

После этого лидеры Палаты представителей США призывают генерального директора CrowdStrike Джорджа Курца дать показания перед Конгрессом относительно причастности компании к масштабному отключению электроэнергии. Между тем, организации и пользователи были предупреждены об увеличении числа случаев фишинга, мошенничества и попыток вредоносного ПО, использующих этот инцидент.

Это событие подчеркивает острую необходимость в надежных процессах тестирования и проверки кибербезопасности, чтобы предотвратить такие широко распространенные сбои в будущем.